高级威胁,近在眼前。
近年来,随着各企事业单位攻防对抗能力的不断提升,攻击技术和手段也在不断发展变化,攻击方会采用内存/漏洞利用攻击、无文件攻击、内存马攻击等高级攻击形式,甚至是结合社会工程学等方式来攻破企业网络。国内受高级威胁攻击影响的行业包括政府、教育、国防军工、IT 供应商、通信、 能源、医疗、金融等。
2021年,安全牛发布的《企业高级威胁防护能力构建指南》在对高级威胁做概念解析时提到:高级威胁并不是在独自演进,它与互联网发展密切相关,互联网上的用户群体牵引着网络攻击目标的变化。在攻击手段上,0day 漏洞利用、内存攻击、勒索攻击越发广泛,社会热点、远程办工、供应链成为后疫情时代高级威胁攻击的新入口。
1、Purple Fox × 漏洞+无文件攻击
时间回到
在某客户处,安芯网盾内存保护系统出现告警信息,提示某台
2、Emotet × 无文件攻击
时间回到一个月前,
安芯网盾内存保护系统发现客户突遭高频无文件攻击的告警信息,统计数据显示有超过三万余次攻击行为,该攻击通过钓鱼邮件投放
3、高级威胁破局之战
尽管端点安全防护产品能力在近年来已有明显提升,可以阻挡大部分基础攻击,但是由团队化、组织化维护的用于非法获取经济利益、窃取商业机密以及国家秘密的高级威胁开始频繁出现,它们的拥有者一直在不断地通过更新代码库和攻击方式来应对漏洞被修复的问题,并提升攻击隐蔽性。
比如前文中提到的两个案例,安芯网盾帮助客户发现的
由于攻击方普遍采用无文件攻击、内存
通过研究发现,上述高级威胁攻击在基于
基于以上理念,安芯网盾推出了内存安全细分领域的主打产品内存保护系统,为客户提供基于内存保护的主机,为用户提供实时的高级威胁防护能力。
1、内存/漏洞利用攻击防护
内存
内存保护系统通过对内存的读、写、执行行为进行细粒度的监控,实时检测和发现内存/漏洞攻击(尤其是内存破坏型漏洞攻击),并
2、无文件攻击防护
无文件攻击常见于
内存保护系统摆脱了对特征签名、网络流量、系统日志等静态特征的依赖,采用行为分析技术,深入
3、内存马攻击防护
内存马是以
内存保护系统借鉴了
一、数据分析过程主要在
二、采用轻侵入模式,部署或升级过程均不涉及业务系统重启;
三、基于行为链结合内存行为进行判断,提升检测精确度,降低误报;
四、能通过动态枚举发现内存中已驻留的